[AWS]マネジメントコンソールログインアカウントにMFA(Multi-Factor Authentication)を設定する。(IAM編)

はいさい、初投稿の akamine です。

AWS マネジメントコンソールへログインするために必要な AWS アカウント(IAM)を作成した際に、最初に設定して頂きたい MFA(Multi-Factor Authentication) について投稿します。

MFA(Multi-Factor Authentication) とは?

直訳すると「多要素認証」というとおり、2つ以上の方法を併用しセキュリティを高めたユーサー認証方式のことです。AWS の場合、アカウント名 / パスワード のログイン方法に加えて、MFA デバイスからの認証コードを入力する方式となっています。
また AWS からもセキュリティ向上のため AWS 多要素認証(MFA)を設定して AWS リソースを保護することを推奨しています。

MFA を設定する方法

では早速、AWS マネジメントコンソールから MFA を設定する方法を書いていきます。AWS が推奨する MFA デバイスには3種類あるのですが、今回は無料で提供されている 仮想 MFA アプリケーションを利用した例をとりあげます。有料提供しているデバイスは以下リンクをご参考ください。

1. マネジメントコンソールにログイン

ログイン後に「セキュリティ&アイデンティティ」から「Identity and Access Management 」を選択します。

IAM-MFA

2. IAM 画面からユーザー選択

左メニューの「ユーザー」へ進み自分自身のユーザー名を選択します。ユーザが多い場合は検索フォームを利用すると便利です。

User-MFA

3. MFAデバイスの管理

ユーザーを選択すると画面真ん中辺りにサインイン認証情報欄があるので「MFAデバイスの管理」をクリックします。
なお、すでに「パスワードの管理」設定は済んでいることとします。(パスワードが「はい」になっていればOKです)
MFAデバイス管理-MFA

4. 仮想 MFA デバイスを選択

次のステップをクリック。
MFAデバイス管理-MFA_1

5. 「Google 認証システム」をスマホにインストール

仮想 MFA デバイスを選択すると、下記のように「互換性のあるアプリケーションを..」とでますが、弊社では Googole が提供している「Google 認証システム」を推奨しています。
MFAデバイス管理-MFA_2
そこで、お手持ちのスマートフォンまたはタブレットなどお使いの機種専用のアプリケーションを以下よりインストールが必要となります。

インストールしましたら次のステップをクリックしてください。

6. 「Google 認証システム」の認証登録

以下の画面で、バーコードが出来てきますので、先ほどインストールした「Google 認証システム」アプリで認証登録します。
MFAデバイス管理-MFA_3-1

まずは「Google 認証システム」アプリを起動し、右上のメニューから「アカウントを設定」をタップします。
画面キャプチャーは Android の例となりますが、iPhone の場合でも類似した方法で登録が可能と思われます。
google2段階認証-MFA_1

バーコードスキャンをタップ。
google2段階認証-MFA_2

バーコードを読み取ります。
google2段階認証-MFA_3

バーコードが読み取られ、リストに表示されると端末への登録は完了です。
google2段階認証-MFA_4

7. 仮想 MFA のアクティブ化

次は、登録した端末をアクティブ化するために、バーコードを読み取った画面の下へ「認証コード」を入力します。
ここで注意するべきこととして、2つの連続する認証コードを入力することがある点です。「認証コード1」で数字を入力したあと、次に出てくる数字を「認証コード2」へ入れなければなりません。
MFAデバイス管理-MFA_4-1
入力出来たら、右下の「仮想 MFA のアクティブ化」をクリックします。

8. 完了確認

以下の様なメッセージが出てくれば成功です。
MFAデバイス管理-MFA_5
完了を押したあと、IAM 画面の認証情報でも確認でき、「Multi-Factor Authentication デバイス:」欄に下記のようなアカウント情報が表示されます。
MFAデバイス管理-MFA_6-1

MFA でセキュアな認証を!

以上が MFA 設定の流れになります。
アカウント / パスワード情報と認証コードの両方を使うため、どちらかだけではログインできないセキュアな認証方法ですが、認証登録したスマートフォンなどを紛失・破損などしてしまうとログインできなくなることにも注意しましょう。